Skip to content

보안공지

랜섬웨어 대응센터

랜섬웨어도 못막는 보안 백신을 사용하고 계십니까?

랜섬웨어 침해시 대처방법과 어떻게 예방할 수 있는지에 대한 자세한 정보를 제공해 드립니다.

바로가기 ▶

크립토락커 랜섬웨어의 대책

등록일 : 2015-11-05

랜섬웨어의 일종인 크립토락커는 지난 4월에 국내 IT커뮤니티의 웹광고 배너를 통해 유포되면서 커다란 이슈가 된 바 있으며, 10월부터는 크립토월 3.0으로서 보다 진화된 변종이 발견되고 있으며, 확산 속도 또한 4월 당시보다 빠르고, 피해 규모도 매우 큽니다. 올해 봄에 확산된 크립토락커는 주로 개인 사용자들에게서 피해가 보고되고 있었지만, 최근에 발견되고 있는 크립토월은 대기업과 금융기관, 관공서 등에서도 잇따라 피해 신고가 접수되고 있습니다.

그렇다면, 이들 크립토락커의 공격을 예방하기 위해서는 어떤 방법을 취해야 할까요?

크립토락커 피해를 대비한 백업

백업이 가장 중요합니다. 익히 알고 있겠지만, 백업 절차만 정상적으로 관리되고 있었다면, 크립토락커로의 위협은 그다지 두려운 것이 아닙니다. 주의해야 할 것은 윈도우에 기본적으로 내장되어 있는 섀도우 볼륨 백업 기능을 믿어서는 안된다는 것입니다. 대부분의 크립토락커는 섀도우 볼륨 백업의 복원지점파일을 삭제하는 기능을 가지고 있습니다.


[크립토락커는 감염시에 윈도우에서 제공되는 시스템 보호 기능(섀도우 볼륨 백업)의 복원지점을
먼저 삭제해 버리므로, 별도의 백업 솔루션을 사용하여 백업해야 합니다.]

윈도우에서 기본적으로 제공되는 “시스템 보호”기능을 사용하고 있다고 해서 크립토락커로부터 안전하다고 믿어서는 안됩니다. 따라서, 별도의 컴퓨터나 백업용 미디어를 사용하는 백업솔루션을 이용해야 합니다. 최근 일반 가정에서도 많이 사용되고 있는 리눅스 기반의 NAS를 이용하는 것도 하나의 방법입니다.

기업의 경우, 파일서버의 백업은 매우 중요합니다. 기업 내에서 다수의 직원들이 업무문서를 저장하여 파일서버에 저장하고 있는 경우, 한 대의 PC가 감염되어도 파일서버의 모든 파일들이 크립토락커에 의해 암호화되어 버릴 수 있습니다. 파일서버가 크립토락커에 감염되지 않았는데도 파일서버에 있는 파일들이 암호화된다는 것은, 직원들의 PC에서 파일서버의 공유폴더를 네트워크 드라이브로 연결해 놓은 상태이기 때문입니다. 예를 들어서, 감염된 PC에서 파일서버의 특정 공유폴더를 F드라이브로 연결해 놓았을 경우, 이 PC에서 활동하는 크립토락커는 F드라이브도 로컬드라이브와 마찬가지로 생각하고, 파일들을 검색하여 암호화 해 버리고 마는 것입니다.


[ B컴퓨터에서는 A컴퓨터에서 공유된 C:드라이브를 자신의 드라이브 중 하나인 것으로 인식하고 있고, 쓰기 권한도 가지고 있기 때문에, A컴퓨터에서 악성코드 방역이 정상적으로 이루어지고 있다 하더라도 피해를 입게 됩니다. ]

2000년대 초 중반 까지는 많은 기업들에서 파일서버를 이용하여 문서들을 공유하였지만, 현재 대부분의 대기업들은 보안과 관리상의 이유로 사내 포탈서비스 등으로 문서 공유시스템을 마이그레이션한 상태입니다. 그러나, 아직까지도 중소기업에서는 파일서버를 많이 이용하고 있으며, 파일서버의 백업이 중요한 것이 이러한 네트워크 드라이브 연결에 의한 파일 감염 위협 때문입니다.

최근 발견되는 CryptoWall의 경우에는 네트워크 드라이브로 연결되어 있지 않고, 쓰기 공유가 허용되어 있기만 하면 네트워크를 브로드캐스팅하여 공유폴더를 찾고, 그 공유 폴더 내의 파일들을 암호화해 버립니다. 따라서, 더 이상 공유 기능을 사용하지 않도록 해야 하며, 부득이한 경우에는 공유 폴더에 보관하는 파일들은 공유되지 않은 폴더에도 별도의 사본을 보관해야 할 것입니다.

드롭박스와 같은 인터넷 클라우드 서비스를 이용할 수도 있지만, 대부분의 인터넷 클라우드서비스는 PC의 파일이 변경되면 클라우드 저장소의 파일도 잠시 후에 변경된 파일로 갱신이 됩니다. PC에서 크립토락커가 활동하여 파일들이 암호화되면, 이어서 클라우드 저장소에도 암호화된 파일이 전송되는 것입니다. 따라서, 클라우드 저장소의 파일이 갱신될 때, 이전 파일이 별도의 저장소로 2차백업이 되는 서비스를 찾아서 이용할 필요가 있습니다.

크립토락커 예방

4월에 모 IT커뮤니티 사이트를 통해서 유포된 크립토락커는 어도비 플래시 플레이어의 취약점을 통해 감염된 것으로 알려져 있습니다. 대부분의 사용자는 “윈도우 업데이트”만을 활성화 시켜 놓고, 업데이트에 대해서 신경쓰지 않는데, 마이크로소프트 오피스와 어도비 플래시 플레이어, 어도비 리더, 한글(HWP) 등 많은 응용프로그램들 또한 계속해서 취약점이 발표되고 이어서 보안패치가 적용된 업데이트 모듈이 발표되고 있습니다. 컴퓨터를 부팅한 후에 이것저것 업데이트를 요구하는 팝업이 나타날 때, 귀찮다고 미루지 말고 제 때 최신 버전으로 업데이트하는 습관을 들여야 합니다.

크립토락커의 유포 방식은 크게 이메일과 웹사이트 두 가지로 나뉩니다. 모르는 사람으로부터 수신되는 이메일은 함부로 열어보지 않도록 하고, 광고 배너나 팝업이 불필요하게 많이 나타나는 사이트는 가급적 이용을 자제해야 합니다. 일부 백신 업체들은 악성코드에 대한 시그너쳐 패턴 뿐만 아니라 악성코드의 매개체로 이용되는 수 십억 개의 악성 웹사이트들의 주소를 데이터베이스화하여 운영하고 업데이트하고 있습니다. 백신 프로그램의 트렌드는 전통적인 파일 기반의 실시간 감시에 국한되는 것이 아니라, 사용자가 접속하는 웹사이트가 안전한지 여부를 먼저 진단하고, 경고를 표시하거나 접근을 차단하는 웹 검증 서비스를 함께 제공하는 것으로 바뀌어 가고 있습니다.
이러한 웹 검증 기능을 사용할 경우, 악성 매개체 웹사이트로의 접근을 미연에 방지하므로 시그너쳐 패턴에 포함되지 않은(알려지지 않은) 크립토락커 변종의 감염 위협을 최소화할 수 있습니다.

웹서핑시에 크립토락커의 매개체라고 볼 수 있는 인터넷 익스플로러를 사용하지 않고, 구글 크롬이나 파이어폭스 등의 다른 웹브라우저를 사용하는 것도 예방 방법의 하나입니다. 아직까지는 인터넷 익스플로러를 통한 감염이 대부분입니다.

트렌드마이크로에서 크립토락커에 대한 대응 기능을 제공하고 있습니다. 수년 전부터 점점 증가하고 있는 크립토락커의 위협에 대비하여 크립토락커 랜섬웨어의 행동유형의 규칙성을 파악하였으며, 이러한 크립토락커와 동일하거나 또는 유사한 행동 유형이 포착되었을 때 백신 프로그램에서 동작하는 행위기반 모니터링 기술로 크립토락커의 실행을 강제 종료하는 기능을 구현할 수 있게 되었습니다.

크립토락커가 감염된 PC의 파일들을 암호화하는 방식은 위의 세 가지로 나눌 수 있습니다.

첫 번째로, 1. C&C서버로부터 암호화키를 다운로드 받고, 2. 공격대상파일을 읽어들인 후, 3. 암호화된 복사본을 생성하고, 4. 원본파일을 암호화된 복사본으로 바꿔치는 방법입니다.

두 번째로, 암호화키를 다운로드 받은 후에 원본 파일을 읽어들인 후 메모리상에 복사본을 만든 후에 원본을 암호화된 복사본으로 교체합니다.

세 번째로, 암호화키를 다운로드 받은 후에 원본 파일을 암호화하거나 암호압축한 후에 원본 파일을 지우는 방식이 있습니다.


위의 세 가지 방식의 행위 모두 시그니처 진단 방식으로는 탐지할 수 없으며, 행동유형을 포착하는 동작모니터링 방식으로 탐지하는 것이 가능합니다.

예를 들어서, 일정 시간 동안 임계치 이상의 파일 개수에 대하여 편집, 삭제, 이름변경 등의 행위가 포착될 경우, 이 행위를 시도하는 프로세스를 강제로 종료시키는 “문서암호화 방지기능”이 있습니다.

그리고, 크립토락커에 감염될 때에 특정 경로의 시스템 관련 폴더에 특정 명칭의 프로세스를 생성하고 실행하는 몇 가지 행위가 있는데, 이를 탐지하고, 해당 프로세스의 생성을 거부하는 소프트웨어 거부 정책 등이 이에 해당한다고 볼 수 있습니다.

기업의 보안 관리자는 이러한 동작모니터링 기능을 사용할 수 있는 백신소프트웨어를 기업 내 모든 컴퓨터들에 백신 프로그램을 설치하고, 최신 시그니처 패턴을 업데이트하여 랜섬웨어의 감염으로부터 예방할 필요가 있습니다.

트렌드마이크로의 오피스스캔크립토락커에 의하여 문서가 암호화되는 행위를 탐지하고 이를 방지하는 “문서암호화 방지기능”과 크립토락커와 유사한 프로세스를 차단하는 “SRP (Software Restriction Policy)” 기능이 추가되어 패턴/시그니쳐가 없는 신종/변종 랜섬웨어에 대한 효과적인 보안 기능을 제공하고 있습니다.

이미 트렌드마이크로의 오피스스캔을 사용하는 기업의 경우 최신 버전(11.0 Service Pack 1)으로 업그레이드하고, 오피스스캔 관리콘솔에서 [에이전트] => [에이전트 관리]=> [설정]=> [동작 모니터링 설정] 에서 [랜섬웨어 행위 차단]에 해당하는 두 가지 항목을 활성화한 후 [모든 에이전트에 적용]을 클릭하여 이 기능을 사용할 수 있습니다.


[오피스스캔 v11 SP1의 동작모니터링 설정]


[오피스스캔 v11 SP1의 랜섬웨어 행위 차단 설정]


[오피스스캔의 랜섬웨어 행위 차단에 의해 차단된 사례]

크립토락커 피해의 복구

최근 확산되고 있는 크립토월(CryptoWall) 3.0은 2,048비트 공개키 암호화 방식으로 암화화 되어 있기 때문에 최신 수퍼컴퓨터를 이용해서 복호화를 시도해도 수 년 이상 소요가 된다고 합니다. 일단 원본파일들이 암호화되면, 이들을 온전히 복구할 수 있는 방법은 아직까지 알려진 바 없습니다. 결국 지푸라기라도 잡는 심정으로, 유포자에게 비트코인을 결재하여 복원키를 받으려 시도하는 경우가 있지만, 유포자가 복원 가능한 복호화키를 보내줄지, 그리고 복원키로 모든 파일을 복원할 수 있을지는 누구도 보장해 주지 않습니다.

감염 PC내의 모든 데이터 파일들이 암호화되었다 하더라도, 용량이 큰 파일들의 경우, 확장명을 원본과 동일하게 변경하여 열어 보면 간혹 정상적인 상태인 것을 확인하는 경우도 있습니다. 이는 파일들을 암호화하는 데에 있어서 다소 시간이 소요되기 때문에 용량이 큰 파일들은 일단 이름만 변경해 두고, 크기가 작은 파일들을 우선적으로 암호화하는 방식이 사용되었을 경우에 해당합니다.

네덜란드 경찰이 코인볼트(CoinVault)와 비트크립터(Bitcryptor)를 유포한 범인을 검거하여 찾아낸 서버로부터 복호화 키를 찾아내었고, 카스퍼스키랩에서는 이들에 대한 복호화 방법을 제시하고 있습니다. https://noransom.kaspersky.com 그러나, 코인볼트와 비트크립터는 현재 국내에서 확산되고 있는 크립토락커와 크립토월과는 다른 종류의 랜섬웨어들입니다. 본인이 감염된 랜섬웨어가 어떤 악성코드인지 확인할 필요가 있습니다.

국내 유명 데이터 복구업체에 의뢰하면 감염 이전에 삭제되었던 파일이나 임시로 저장되었던 파일들 일부를 복구할 수 있을 것이라고 합니다. https://www.myung.co.kr/brd/brd/view.do?menuKey=776&brdMngKey=516&brdKey=2949


Connect with KR on